Gravatar 表示，在“我被 Pwned”服務通知用戶違規後，它沒有被黑客入侵

已發表: 2021-12-07

Gravatar 今天在回答問題後，“我是否被 Pwned”（一項數據洩露檢查服務）在推特上發布了“新抓取的數據：Gravatar 在去年 10 月通過枚舉向量抓取了 1.67 億份個人資料。 隨後，1.14 億個 MD5 電子郵件地址哈希值被破解並與姓名和用戶名一起分發。 “它聲稱這些電子郵件地址中有 72% 已經使用該服務進行了記錄。

該推文引用了 BleepingComputer 2020 年 10 月的一篇題為“在線頭像服務 Gravatar 允許大量收集用戶信息”的文章，該文章解釋了最初如何獲取哈希值。在意大利安全研究員 Carlo Di Dato 無法從 Gravatar 獲得答案後，他向該出版物展示瞭如何通過使用與每個配置文件關聯的數字 ID 來獲取用戶數據來獲取用戶數據。然後，他編寫了一個測試腳本，依次訪問從 ID 1 到 5000 的配置文件 URL，並表示他能夠毫無問題地收集前 5000 個 Gravatar 用戶的 JSON 數據。

許多 Gravatar 用戶對今早來自 Firefox Monitor 和 Have I Been Pwned 的通知感到震驚和不安，稱他們的信息出現在新的數據洩露中。

哦，cmon，毀了我的一天@gravatar pic.twitter.com/FsmxkL7zpq
— Lundy (@simplyeazy) 2021 年 12 月 6 日

BleepingComputer 的文章在今天 Have I Being Pwned 的披露後獲得了更多關注，促使 Gravatar 在 Twitter 上做出回應：

Gravatar 通過經過身份驗證的個人資料幫助您在線建立身份。我們知道在線對話聲稱 Gravatar 已被黑客入侵，因此我們希望澄清錯誤信息。

Gravatar 沒有被黑。我們的服務使您可以控制要在線共享的數據。您選擇公開分享的數據可通過我們的 API 獲得。用戶可以選擇分享他們的全名、顯示名稱、位置、電子郵件地址和簡短的傳記。
去年，一名安全研究人員通過濫用我們的 API 抓取了公開的 Gravatar 數據——用於引用用戶頭像的電子郵件地址的用戶名和 MD5 哈希值。我們立即修補了大規模收集公共個人資料數據的能力。如果您想詳細了解 Gravatar 的工作原理或調整您個人資料上共享的數據，請訪問 Gravatar.com。

Gravatar 不認為該事件是數據洩露，這就是為什麼該服務沒有披露 2020 年響應安全研究人員所做的更改的原因。

Automattic 擁有的服務在 WordPress 網站、GitHub、Stackoverflow 和其他在線地方使用。安全研究人員和隱私倡導者多年來一直警告 Gravatar 的隱私攻擊。許多人已經證明了用戶信息是多麼容易獲得以及抓取它是多麼容易。

2013 年 7 月，Dominique Bongard 在拉斯維加斯的 Passwordscon 上發表了關於法國政治論壇成員去匿名化的演講。他解釋瞭如何編寫自定義爬蟲來獲取論壇用戶的 MD5 哈希，並證明使用自定義破解軟件的攻擊能夠恢復 70% 的 Gravatar 用戶的電子郵件地址。

Bogard 指出，在論壇用戶沒有憲法規定的言論自由權利或參與者可能受到騷擾或攻擊的地方，對政治論壇的成員進行去匿名化可能特別危險。

Wordfence 在 2016 年發布了關於 Gravatar 的諮詢，其中引用了 Bongard 的研究，以及 2009 年完成的早期工作，研究人員證明他可以將大約 10% 的 gravatar 哈希反向工程到電子郵件地址中。

Wordfence 創始人兼首席執行官 Mark Maunder 解釋了使用電子郵件地址哈希如何導致人們使用谷歌搜索提取的哈希以查找個人正在使用的其他網站和服務。

“例如：用戶可能很樂意讓他們的全名和個人資料照片出現在有關滑雪的網站上，”蒙德說。 “但他們可能不希望自己的姓名或身份在專門研究醫療狀況的網站上向公眾公開。研究此人的人可以從滑雪網站上提取他們的 Gravatar 哈希以及他們的全名。然後他們可以通過谷歌搜索哈希並確定此人患有他們想要保密的醫療狀況。”

許多 Gravatar 用戶對該服務的解釋不滿意，即用戶輸入的所有信息都是公開的，這使該事件不符合被標記為違規的資格。然而，在相同的解釋中，該服務聲稱 API 被濫用，而不是承認它易受攻擊並且本可以得到更好的保護。

經過多年的研究人員證明這是可能的，抓取 Gravatar 是否是一種不道德的數據採集，因為抓取工具正在濫用服務的架構？或者，Gravatar 使多年來大量收集個人資料數據成為可能，這是不道德的嗎？

聽起來您的數據是以您不打算的方式訪問的（如果只有一個詞），但您不是故意的？
——克里斯托弗·福斯特 (@CF99) 2021 年 12 月 6 日

“如果有人能夠將 API 用於其預期目的之外的用途，並且可以收集通過'標準'手段無法獲得的信息......這是一種違規行為，”Twitter 用戶@RegGBlinker 評論此事。

Gravatar 無疑希望最大限度地減少今天早上向其用戶發送的違規通知所造成的損害，但將其作為語義問題並不令人放心。大多數用戶不打算與任何有動機抓取暴露用於收集的數據的人分享他們的 Gravatar 電子郵件。即使這些數據是通過“濫用”他們的 API 而被傾倒的，對於那些預計用戶數據將無法在其他地方分發的人來說，這感覺就像是一種破壞。

該事件提醒人們，正如 Gravatar 今天強調的那樣，用戶選擇公開共享的數據是由服務的 API 提供的，而不是私有的。作為用戶，享受不必在各個網站上多次上傳個人資料照片的便利是有風險的。希望他們的網站提供更具隱私意識的選項的發布者應該尋找像 Local Gravatars 或 Pixel Avatars 這樣的替代品。